"CUIDADO: TUS ARCHIVOS HABLAN"

 Espera no te asustes todavia, no estamos hablando de algo paranormal, bueno, al menos, no todavia, pero si algo por mucho parecido en la vida real.

en  este articulo vamos a ver el formato estructural de los archivos de fotografias JPEG y como estos nos pueden poner en peligro en hablar como que sistemas de archivos utilizamos, desde que camara fue tomada la fotografia, en que ubicacion y un largo de caracteristicas que nos ponen los pelos de punta.

Muchos son las personas que se toman selfies a diario como si de un model@ de hollywood se tratase pero lo que no saben este tipo de personas es que sus datos e informacion se esta poniendo en riesgo tambien con el peligro que trae volverse famoso en internet, claro esta.

este es uno de los formatos mas utilizados en la red y por las camaras de fotografia, dependiendo del hardware de la misma, claro.

para sacar los metadatos se debe conocer la estructura misma del formato, y eso no vale solo para este formato si no para cualquiera en general, asi si se quiere conocer como funciona un .exe se debe estudiar primero la estructura del formato de windows PE en su sitio oficial o por internet mediante nuestro navegador favorito.

como primera instancia tendremos que bajaros un editor hexadecimal, hay muchos en intenet y todos funcionan casi de la misma manera y te presentan los datos de igual forma, lo importante aqui es como dije antes, saber interpretar los datos que te arroja la herramienta , de nada sirve si quieres que la herramienta haga e interprete todo por ti, entonces para que estas tu? :V, debes de estudiar a fondo como funcionan las cosas de ahi radica la diferencia entre un lammer, un script kiddie y un verdadero pentester profesional.

Podemos bajarnos el HEX WORKSHOP para hacer nuestro trabajo:
este esta muy bien ya que incorpora muchas de las funcionalidades que necesitaremos mas adelante en nuestra investigacion ademas de que te colorea las diferentes bytes en hexadecimal.


en la anterior imagen se resumen las funcionalidades de los bytes del formato jpeg, vemos que estos bytes tendremos que buscar en nuestro editor hexadecimal que descargamos antes.
El estandar JPEG es bastante largo, asi que llevara un tiempo estudiarlo completamente, ya que este estandar hace uso de varias estandarizaciones asi como diferentes metodos para compresion y descompresion de los valores de las imagenes y de los colores.

Podemos analizar que una parte de los bytes de la propia estructura JPEG que son de los  metadatos precisamente y guarda estos mismos en la estructura.

tambien hay una especificacion para buscar los metadatos llamada EXIF, exif fue creado en japon a finales de la decada de los 90s y aun continua en uso en la actualidad.
Exif es una abreviatura de "Exchangeable Image File Format" y su traducción que hago literal: "Formato de intercambio de archivo de imagen".

 dentro de la especificacion del JPEG viene el APP1 y dentro de este mismo viene la especificacion EXIF para guardar mediante diversos valores, los metadatos o mejor conocidos como TAGS o etiquetas como se le quieran llamar, asu misma vez esta especificacion incluye sus propios codigos de especificacion para retornar los valores apropiados, veamos cuales son.
todo lo demas que podemos ver como, DQT, DHT, etc, son parte de las codificaciones y decodificaciones cuando se transmiten entre los dispositivos mismos o al visualizarlas en alguna pantalla.

podemos buscar una tabla con los exif identifiers codes en nuestro buscador favorito o tambien podemos examinar la imagen a pelo con nuestro editor hexadecimal sin modificar nada claro, ya que si lo hiciesemos estariamos afectando a la imagen en general y corruptiendo la misma.

buscamos los valores EXIF entonces:
yo encontre la siguiente lista:
en la anterior ilustracion podemos ver los valores de los identificadores del EXIF cada uno con un valor especifico ya sea hexadecimal, decimal y en cadena, para nuestra comodidad lo buscaremos en el editor hexadecimal mediante una cadena.

abrimos nuestro editor hexadecimal y le damos en open para seleccionar nuestra imagen con los metadatos.
no nos asustemos al observar todo en hexadecimal , esto pudiera parecer algo de terror y desordenado desde un inicio , pero si eres un profesional y sabes como funciona todo, que valor tiene que, y que significa entonces, el terror se vuelve un completo placer :P.

Elegimos donde dice edit y le damos al CTRL + F, se nos abrira otra ventana , es la ventana de busqueda en todo el archivo hexadecimal, en el type ponemos Text string y debajo ponemos el primer identificador EXIF de la imagen que vimos antes,  ponemos ImageDescription y le damos ALL donde dice Options, y para finalizar le damos enter.

 Si tuviste algunos problemas al buscar los datos en valor hexadecimales, por lo que investigue, se debe a que algunos valores cambian por el tipo de sistema operativo a utilizar,  y algunos otros de la especificacion son en formato LONG, ascii, etc,  pero despues de unas largas horas de investigacion me di ala tarea de buscar mas listas con codigos EXIF como las de la imagen anterior.

Ademas de que las distintas versiones EXIF tienen codigos diferentes en sus valores hexadecimales, decimales y de cadenas, aqui podemos observar otra tabla descriptiva:
debemos tener muy en cuenta esto, las versiones del EXIF utilizado, y como saberlo? pues facil, hay que calcular la epoca en que los dispositivos se usa, el estandar 2.3 salio el 2010 y se reviso por  ultima vez en el 2012, este debe ser el estandar mas actual por lo que es este mismo el que incorporan las camaras de los dipositivos moviles, asi como demas cosas.

Depende del funcionamiento del dispositivo tambien, hay algunos que guardan ciertos valores y otros que no, por ejemplo habra algunos que guarden la geolocalizacion en las tags, y habra otros que solo la fecha, el software, el autor, el modelo del dispositivo, entre otras cosas, hay que tener esto muy en cuenta.

en el editor hexadecimal a mi me salio esto:
 si no queremos tanto complicarnos la vida , intentando con cada code tag del EXIF, entonces podemos usar algun programita o script previamente programado ya listo para usar como foca o el exiftool de linux,  veremos estos dos, mas adelante.
vemos en la imagen que nos encontro el tipo de dispositivo, el numero de modelo, y la verison utilizada de EXIF, lo otro tambien lo mostro pero al no ser un visualizador de imagenes, los mismos datos estan comprimidas como lo menciona el estandar.

ahora usaremos foca aver que nos sale:
como podemos verificar este programa nos muestra TODO de TODO, y cuando digo de TODO es de casi TODO,  en este caso solo detalles tecnicos de la camara, pero mas abajo pudimos observar que nos dio la ubicacion de la persona.
Y para que se puede usar esto? , mejor para que no se puede usar?,  si vemos en diferentes fotos de la victima la misma localizacion, los chicos malos pueden hacer una triangulacion de donde vive, que lugares frecuenta,  a que hora frecuenta tal x lugar,  que exploits se encuentran disponibles para el equipo que utiliza, en fin, hay muchisimas posibilidades.

Ahora usaremos la herramienta de linux, EXIFTOOLS:
he visto rapidamente el manual de este script, y veo que esta escrito en perl y que tiene cientos de funcionalides, el author de este script si que se tomo su tiempo para poder implementar cada una de las funciones, podemos ver incluso su codigo fuente en linux para analizar como lo hizo, ahora nos toca ver las coordenadas en nuestro localizador favorito sea google maps o sea cualquier otro como google earth ;).

yo usare una herramienta que me encontre navegando por la web que te enlaza  a google maps y otros demas mapas:

da miedo no?, da miedo que alguien siga nuestros pasos hasta donde hemos tomado las fotos o donde solemos visitar los fines de semanas para tomaros una selfie.
pues esta imagen te va a dar mas escalofrio aun, mirad esto:
como ha quedado vuestro ojo? :), pero no nos alarmeis , los metadatos tambien se pueden borrar mediante diversas utilerias tanto online como en aplicaciones, basta con poner en nuestro navegador borrar metadatos o delete metadata images y ya esta, tienes un monton de opciones de donde elegir.

ahora ya sabes, ala proxima borra tus metadatos o si no quieres quedar como este tio cojon:


nos vemos hasta la proxima, cuidense, saludos comunidad.
Luis Stuxnet

REFERENCIAS:
EXIF SPECIFICATION
http://www.exif.org/Exif2-2.PDF
https://en.wikipedia.org/wiki/Exchangeable_image_file_format
JPEG SPECIFICATION
https://en.wikipedia.org/wiki/JPEG
USING EXIF TOOL LINUX VIDEO
https://www.youtube.com/watch?v=K9PAD7GqUag
EXIFTOOL TAG_NAMES
http://www.sno.phy.queensu.ca/~phil/exiftool/TagNames/EXIF.html